Artikelen

  1. 2-stapsverificatie
  2. Antivirus
  3. API- en mobiele app-pentest
  4. API-beveiliging
  5. Applicatiepentest
  6. Auditpentest
  7. AVG
  8. Back-up
  9. Begrip: CISO
  10. Bewaartermijn
  11. Bijlages
  12. Black hat hacker
  13. Blacklisting
  14. Botnet
  15. Bots
  16. Brute force
  17. Bufferoverflow
  18. Business continuity plan (bcp)
  19. Chief Operational Security Officer (COSO)
  20. CISM
  21. Cloud
  22. Computer virus
  23. Computerworm
  24. Credentials
  25. CVE: Common Vulnerabilities and Exposures
  26. CVSS: Common Vulnerability Scoring System
  27. Cybercrimineel
  28. Cybersecurity
  29. Cybersecurity Risk Assessment
  30. Datalek
  31. DDos aanval
  32. De Holmes Community Blacklist
  33. Discovery scan bij vulnerability scan
  34. DKIM
  35. DMARC
  36. Domein reputatie
  37. Due diligence
  38. Encryptie
  39. Firewall
  40. Functionaris van gegevensbescherming
  41. Grey hat hacker
  42. Hack apparatuur
  43. Hacken
  44. Hacker
  45. Hardware pentest
  46. Het begrip phishing
  47. Het gebruik van wachtwoorden
  48. Hoax
  49. Informatiebeveiliging definitie
  50. Information Security Officer (ISO)
  51. IT-Beveiliging
  52. Key risk
  53. Malware wat is het en welke soorten zijn er (2024).
  54. Netwerk betekenis
  55. Netwerk pentest
  56. Netwerk segmentatie
  57. OSINT- Open Source Intelligence
  58. OWASP
  59. Pentest rapport
  60. Persoonsgegevens
  61. Scan updates bij vulnerability scan
  62. Scareware
  63. Security Control
  64. Security maturity: Waarom je het nodig hebt en hoe je het kunt bereiken.
  65. Security officer as a service
  66. Server
  67. Sim-swapping
  68. Skimmen
  69. SPF
  70. Spyware
  71. Steganografie
  72. Technische mail check
  73. Tweestapsverificatie
  74. Typosquatting
  75. Wat is een cyberaanval?
  76. Wat is een domein?
  77. Wat is Identity and Access Management (IAM)?
  78. Wat is spear phishing?
  79. Wat is tailgating?
  80. White hat hacker
  81. Whitelisting
  82. Zero-day (0-day)

Wat is spear phishing?

Spear phishing is een vorm van phishing gericht op één specifiek individu, organisatie of bedrijf. Deze vorm van cybercrime wordt veel gebruikt voor het verzamelen van data zoals een gebruikersnaam of wachtwoord. Tegenwoordig zie je ook steeds vaker ransomeware voorbij komen met als oorzaak spear phishing.

Zoals je hierboven al kon lezen is spear phishing bedoelt om één specifiek target aan te vallen. Dit betekent dus ook dat de hackers gerichtere phishing kunnen sturen. Denk hierbij bijvoorbeeld aan een CFO die de jaarcijfers kan bekijken in Exact via een mail. Of de HR medewerker die een mail krijgt van een collega met daarin de tekst: ik neem ontslag bekijk mijn reden hier. Spear phishing is dan ook erg gevaarlijk omdat het zo nauwkeurig verstuurd kan worden. Dit is dus geen normale phishingmail.

Hoe werkt spear phishing?

Spear phishing werkt alsvolgt: een aanvaller heeft het gemunt op jou, je organisatie of je bedrijf. Hij verzameld al weken gegevens over je. Zo ziet hij op Facebook dat je in het weekend vaak zwemt in een bepaalt zwembad. Of op insta dat je pas getrouwd ben en je de foto’s waarschijnlijk nog moet ontvangen.

De aanvaller heeft nu 2 opties. Optie 1 het verkrijgen van de gebruikersnaam en het wachtwoord wat jij altijd gebruikt door een nep mail. En optie 2 je trouw foto’s opsturen via een download link, echter worden er geen leuke foto’s gedownload maar ransomeware.

Je ziet in het voorbeeld hierboven dat de hacker gemakkelijk aan gegevens over jou kan komen. Zorg er dan ook voor dat je altijd je gegevens van sociaalmedia op privé zet.

Hoe kan je jezelf nu verdedigen tegen deze vorm?

Als individu is het vaak moeilijk om je te beschermen omdat hackers uit het niks een mail sturen die jij ziet als echt. Echter zien wij bij Surelock dat door trainingen in het herkennen van phishing je al een eind komt. Voor het herkennen en voorkomen van phishing voor organisaties zijn namelijk een aantal basisregels:

  • Stel op ieder account 2FA in, dit zorgt voor een dubbele bescherming;
  • Gebruik wachtwoorden niet meer dan 2x;
  • Controleer altijd het mailadres, www.kpn.nl of www.kppn.nl kan het verschil maken;
  • Hover over linkjes op deze manier zie je wat erachter zit;
  • Download niet iets zonder het te checken bij de afzender;
  • Druk NOOIT zomaar op een link en al helemaal geen bitly.
  • Train jezelf bijvoorbeeld met onze bot-or-not en maak kennis met phishing.

Bescherm je organisatie tegen spear phishing?

Bij Surelock zijn wij dagelijks bezig met het trainen en controleren van bedrijven en organisaties voor een hoger security awareness niveau. Wat wij zien is dat actief sturen op een beter informatiebeveiligingsbeleid veel kan oplossen. Denk hierbij bijvoorbeeld aan het versturen van phishing simulaties of het trainen van je personeel in het herkennen van phishing.

Hieronder staan een aantal methodes om je organisatie te beschermen:

  • Voer periodiek phishing simulaties uit voor het krijgen van inzicht;
  • Train de personen die in de phishing simulaties trappen met e-learning of fysieke trainingen;
  • Maak gebruik van een extra hulpmiddel zoals de Security Coach;
  • Zorg voor een goed informatiebeveiligingsbeleid mocht het toch nog mis gaan;

4 voorbeelden van spear phishing

Hieronder staan 5 voorbeelden van spear phishing. Ben je nu benieuwd waar welke soorten phishing er nog meer zijn. Ga dan naar onze blog over de verschillende soorten phishing. De 5 voorbeelden:

1. Nep websites

Een hacker bouwt een website die je vaak gebruikt. Denk hierbij aan de inlogpagina van het rooster voor de zwemles. De website is 1 op 1 met de daadwerkelijke website alleen het heeft een ander adres. Denk hierbij aan bool.com ipv. bol.com.

2. Malware door spear phishing

De hacker verstuurd een bericht wat specifiek op jouw gericht is. Het bericht bevat een link met daarachter software die schade aan brengt aan je elektronische apparaten. Dit noemen we malware.

3. CEO Fraude

Een cybercrimineel zorgt dat hij in controle komt van een e-mail adres van een medewerker. Bijvoorbeeld iemand van HR. De cybercrimineel gaat vervolgens via naar de CEO mailen dat er een probleem is. De CEO drukt of vult zijn gegevens. Op deze manier krijgen de cybercriminelen toegang tot de data van de CEO.

4. Smishing met spear phishing

Hierboven hebben we al uitgelegd hoe CEO fraudeurs te werk gaan via de mail. Smishing met spear phishing is hetzelfde alleen dan via de SMS. De hacker krijgt toegang tot de mobiel van de HR medewerker en stuurt de CEO een sms bericht.

Conclusie

Spear phishing is een van de gevaarlijkste vormen van Cybercrime. Dit omdat het zo moeilijk is te herkennen omdat cybercriminelen zich voordoen als een bekenden. Desondanks is het wel mogelijk om je organisatie actief te beschermen tegen deze vorm met bijvoorbeeld een phishing simulatie.

Phishing VS Spear phishing